<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>
  Rilis 1.3.0
</title>
</head>
<body bgcolor="#ffffff">
<h1>Rilis 1.3.0</h1>

Rilis ini berisi sejumlah besar perubahan, khususnya pada API ZAP.<br>
Kami telah menambahkan sejumlah besar titik akhir API baru, yang bekerja menuju tujuan kami membuat ZAP dapat dikontrol sepenuhnya melalui API.
Kami juga telah mengubah beberapa titik akhir yang ada dan dalam semua kasus perubahan ini kompatibel yang mundur.
<p>
Rilis penuh juga menyertakan add-on JxBrowser baru serta webdrivers platform yang spesifik untuk membuatnya lebih mudah lagi 
berinteraksi dengan ZAP melalui beragam browser.

<h2>Perubahan Keamanan API</h2>

Kami telah mengubah keamanan API sebagai tanggapan atas masalah yang dilaporkan kepada kami melalui akun kami <a href="https://bugcrowd.com/owaspzap">program bounty bug</a>. 
Rincian kerentanan diberikan di bawah ini.<br>
Perubahan keamanan dengan kebutuhan tidak kompatibel, meskipun kami menyertakan opsi untuk menonaktifkannya jika Anda menggunakan ZAP di lingkungan yang aman.
<p>

Secara default semua panggilan API sekarang memerlukan kunci API atau sebuah nonce. 
Ini dapat diberikan melalui parameter URL, parameter POST atau header.
Klien API ZAP yang didukung (termasuk Java dan Python) telah diperbarui untuk menyediakan kunci API melalui sebuah header.
Node dihasilkan oleh ZAP dan dimaksudkan untuk digunakan oleh add-on ZAP yang memerlukan akses ZAP API. 
Untuk rincian lebih lengkap lihat <a href="../ui/dialogs/options/api.html">Opsi layar API</a>.
<p>
Ada satu set opsi API baru yang terkait dengan keamanan:
<ul>
<li>UI Diaktifkan - Jika diaktifkan maka API Web UI tersedia untuk semua mesin yang dapat menggunakan ZAP sebagai proxy. Ini diaktifkan secara default.</li>
<li>Alamat IP diizinkan untuk menggunakan API - Hanya secara default mesin ZAP yang sedang berjalan yang dapat mengakses API ZAP. Anda dapat mengizinkan mesin lain mengakses API dengan menambahkan pola regex yang sesuai. Anda hanya perlu menambahkan alamat IP yang Anda percayai.</li>
<li>Tidak memerlukan kunci API untuk operasi yang aman - Jika diaktifkan maka kunci API tidak diperlukan untuk Tampilan atau operasi lain yang dianggap 'aman', dengan kata lain operasi yang tidak membuat perubahan pada ZAP. Namun operasi semacam itu memberikan akses ke data ZAP seperti jalur peringatan, pesan, dan jalur sistem file.  Mereka juga bisa digunakan oleh aplikasi web untuk mendeteksi keberadaan ZAP.</li>
<li>Laporkan kesalahan izin melalui API - Jika diaktifkan maka ZAP akan melaporkan kesalahan izin melalui API, yang dapat digunakan oleh aplikasi web untuk mendeteksi keberadaan ZAP. Ini bukan masalah serius di lingkungan yang aman namun jika Anda menggunakan ZAP terhadap situs yang berpotensi berbahaya maka Anda tidak boleh mengaktifkannya.</li>
</ul>

Semua ZAP pilihan dapat ditentukan melalui command line ketika anda mulai ZAP - 
melihat <a href="https://github.com/zaproxy/zaproxy/wiki/FAQapikey">FAQ Kunci API</a> untuk rincian selengkapnya.<br>
Kami juga menambahkan lebih banyak header keamanan ke API termasuk juga Kebijakan Keamanan Konten yang sangat kuat.

<h2>Perangkat tambahan</h2>
<ul>
<li>Masalah 368 : API - URL laporan hanya ditemukan oleh laba-laba</li>
<li>Masalah 689 : Perbaiki pengelolaan Lingkup</li>
<li>Masalah 958 : Identifikasi versi Java saat variabel lingkungan untuk Java diekspor</li>
<li>Masalah 1853 : Memungkinkan untuk memindai Konteks secara aktif melalui API ZAP</li>
<li>Masalah 1952 : Jangan biarkan Konteks dengan nama yang sama</li>
<li>Masalah 2117 : menetapkan / memperbarui ambang batas default dan kekuatan untuk kebijakan pemindaian</li>
<li>Masalah 2334 : Aktifkan pencarian di ZAP Addons Pop-up</li>
<li>Masalah 2415 : Tunjukkan alasan mengapa pemindai aktif dilewati</li>
<li>Masalah 2559 : Jangan bersihkan yang belum disimpan (file based) sesi</li>
<li>Masalah 2570 : Ubah opsi proxy untuk menghapus pengkodean yang tidak didukung</li>
<li>Masalah 2592 : Membedakan sumber peringatan</li>
<li>Masalah 2611 : Mengubah dialog breakpoint HTTP menjadi modal</li>
<li>Masalah 2633 : Meningkatkan Pemilih Berkas Cert Klien</li>
<li>Masalah 2647 : Mendukung/pscan aturan konfigurasi</li>
<li>Masalah 2655 : Memberikan melewatkan alasan untuk Script Aktif Scan Aturan</li>
<li>Masalah 2682: Semacam bantuan (utama) add-on TOC entri</li>
<li>Masalah 2690 : Dukungan mengabaikan formulir yang ditentukan saat memeriksa kerentanan CSRF</li>
<li>Masalah 2699: Peningkatan permintaan: meningkatkan penanganan kesalahan kegagalan negosiasi SSL</li>
<li>Masalah 2701 : Permintaan Peningkatan: Kembali ke setelan Pabrik</li>
<li>Masalah 2723 : Mendukung permintaan POST untuk tindakan API</li>
<li>Masalah 2728 : Memungkinkan untuk menghapus spider parser dan filter</li>
<li>Masalah 2742 : Izinkan untuk mengganti/menyesuaikan nilai "networkaddress.cache.ttl" Java</li>
<li>Masalah 2750 : Tambahkan CSP yang cukup kuat ke API</li>
<li>Masalah 2773: Menggunakan UTF-8 untuk membaca/menulis skrip ZAP</li>
<li>Masalah 2782: Mendukung parameter cmdline - configfile</li>
<li>Masalah 2825 : Komentar tambahan untuk template JS</li>
<li>Masalah 2853 : Mengganti detail Lansiran</li>
<li>Masalah 2855 : Dukungan fungsi istirahat di API</li>
<li>Masalah 2865 : Menormalisasi Sertakan/Mengecualikan kontek panel</li>
<li>Nomor 2886 : Pilihan untuk menghasilkan laporan dalam format catatan</li>
<li>Nomor 2891 : Perlihatkan penyebab kenapa tulisan tidak terlihat</li>
<li>Masalah 2936: Selalu mengatur Java mem untuk 1/4 tersedia (lebih 512Mb)</li>
<li>Masalah 2937: Perubahan ZAP API untuk membaca/menggunakan tubuh permintaan</li>
<li>Masalah 2939: Menggunakan absolut bebas URI elemen HTML dasar dalam laba-laba</li>
<li>Masalah 2951: Dukungan aktif scan aturan dan scan durasi maks</li>
<li>Masalah 2954: Memungkinkan untuk mengekspor konteks melalui menu konteks</li>
<li>Masalah 2966: Penggunaan L&amp;F ditentukan melalui JVM args</li>
<li>Masalah 2970: Memungkinkan untuk mengkonfigurasi, menurut jenis script, keadaan diaktifkan baru/dimuat script</li>
<li>Masalah 2982 : Memungkinkan untuk menonaktifkan pendataan standar output default</li>
<li>Masalah 2994: Tampilkan kolom 'Ukuran mewadahi tubuh' sejarah dalam bytes</li>
<li>Masalah 3004: Memungkinkan untuk memindai pasif hanya HTTP pesan dalam lingkup</li>
<li>Edisi 3028: Nilai Generator (sebelumnya bentuk penanganan)</li>
<li>Edisi 3038: Kembali permintaan di jenis melalui ZAP API</li>
<li>Masalah 3042: Memungkinkan untuk memilih beberapa parameter di Params tab</li>
<li>Masalah 3050 : Kembali permintaan' timestamp/RTT melalui ZAP API</li>
<li>Masalah 3058: Memungkinkan untuk mengkonfigurasi domain selalu dalam lingkup laba-laba (Spider API)</li>
<li>Masalah 3061: Memungkinkan untuk mencela Endpoint API</li>
<li>Masalah 3069: Konteks struktural parameter hanya menerima alfanumerik grafik</li>
<li>Masalah 3079 : Ditambahkan cookie mengabaikan daftar aturan dan inc default tidur untuk 20 untuk mengurangi FPs</li>
<li>Masalah 3081: Mengubah waktu standar 15 dan membuat dapat diakses publik</li>
<li>Masalah 3090 : Menjadi lebih lunak pada add-on's format nama file</li>
<li>Masalah 3098 : Masuk untuk file bahkan jika ZAP dijalankan 'inline'</li>
<li>Masalah 3118 : termasuk subjekAlternatifNama ekstensi di dihasilkan sertifikat</li>
<li>Masalah 3123 : Keamanan tambahan anotasi untuk bentuk-bentuk yang tidak memerlukan anti token CSRF</li>
<li>Masalah 3130 : Ditambahkan perbaharui API panggilan</li>
<li>Masalah 3149 : Dasar: mendukung konteks file dan isu-isu dalam proses</li>
<li>Masalah 3159 : Memungkinkan esc untuk menutup Tempatpasar Dialog</li>
<li>Masalah 3163 : Pilihauto diimpor Sertifikat</li>
<li>Masalah 3176 : Memungkinkan untuk menunjukkan lebih banyak permintaan data dalam tab Sejarah</li>
<li>Masalah 3195 : Menambah solusi proxy lokal untuk Android emulator</li>
<li>Masalah 3226 : Pilihan untuk memasuk kunci API atau nonces melalui header</li>
<li>Masalah 3227 : Alamat IP batas API akses untuk masuk daftar putih</li>
<li>Masalah 3229 : Menggunakan perujuk-kebijakan dalam ZAP API</li>
<li>Masalah 3232 : Aktif Scan API - memungkinkan untuk memulai scan dengan node bebas-daun</li>
<li>Masalah 3238 : Tambahkan entri driver untuk SmartCard CSPid Virtual</li>
<li>Edisi 3261: Sertifikasi Klien PKCS#11 - Penanganan UI/Exception</li>
<li>Masalah 3285 : Edit Peringatan Tambahan</li>
<li>Masalah 3290 : Menunjukkan permintaan dengan I/O kesalahan dalam tab laba-laba</li>
<li>Masalah 3296 : Membuat direktori script ketika dapat dir rumah</li>
<li>Masalah 3297 : Mulai proxy lokal setelah memproses argumen baris perintah saat berada dalam mode daemon</li>
</ul>

<h2>Perbaikan bug</h2>
<ul>
<li>Masalah 1107 : Komentar Tambahan diperlukan untuk Skrip templat/contoh</li>
<li>Masalah 1152 : Sensor CSRF Pasif Melaporkan Token CSRF yang Hilang untuk semua Formulir, bukan hanya Permintaan POST yang Hilang Token Anti-CSRF</li>
<li>Masalah 1212 : Positif palsu dalam tes SQLi</li>
<li>Masalah 2176 : NPEs selama zapbot WAVSEP scan</li>
<li>Masalah 2218 : Sesi yang Bertahan tidak menyimpan Konteks Default yang tidak terkonfigurasi</li>
<li>Masalah 2546 : ZAP mengakses URL yang berada di luar lingkup</li>
<li>Masalah 2550 : GUI membeku saat membuka dialog Scan kemajuan</li>
<li>Masalah 2561 : Menggunakan UTF-8 untuk menulis laporan HTML</li>
<li>Masalah 2578 : Masalah kegunaan kecil: harus klik pada teks dalam kolom pilihan untuk memilih baris</li>
<li>Masalah 2585 : Menghapus temp urutan permintaan pada sesi membersihkan</li>
<li>Masalah 2586 : Menggunakan pilihan semua permintaan dari dialog aktif Scan</li>
<li>Masalah 2605 : Mencegah GUI hang saat menambahkan pesan ke sejarah</li>
<li>Masalah 2608 : Menghapus DDN dari konteks tidak muncul untuk memicu Update ke situs Tab</li>
<li>Masalah 2637 : Mencegah API UI dimuat dalam bingkai</li>
<li>Masalah 2642 : Roda mouse lambat bergulir di situs pohon</li>
<li>Masalah 2657 : Benar ketekunan ekstensi Penyandang Cacat</li>
<li>Masalah 2674 : Otomatis permintaan otentikasi ditampilkan di tab HTTP sesi</li>
<li>Masalah 2681 : Pengecualian memperbaiki saat menambahkan skrip melalui API</li>
<li>Masalah 2694 : Kemampuan untuk mengatur parameter dikecualikan dari API</li>
<li>Masalah 2696 : Mengaktifkan salinan URL muncul menu untuk semua pesan</li>
<li>Masalah 2707 : Instalasi Manual add-on kebutuhan lebih bermakna dialog pesan</li>
<li>Issue 2735 : Wiki: ModesAndScope doesn't cover ATTACK mode</li>
<li>Masalah 2736 : Bug: tidak dapat menghasilkan laporan dari sesi data yang disimpan</li>
<li>Isu 2737 : Koreksi pesan kesalahan API pada parameter skrip yang hilang</li>
<li>Isu 2745 : Eksepsi Laba-laba ketika sitemap.xml tidak ditemukan</li>
<li>Edisi 2748: ZAP form HTML Anda kirim dengan beberapa tombol</li>
<li>Masalah 2757 : Waspada dengan metode permintaan berbeda dianggap sama</li>
<li>Masalah 2774: Nilai salah ditunjukkan pada lokasi fuzz untuk tubuh teks saat dipilih melalui tampilan gabungan</li>
<li>Isu 2792 : Sanggup untuk mencocokkan lokasi fuzz (HTTP)</li>
<li>Isu 2793 : Menyoroti kesalahan pada tampilan gabungan dengan bagian terakhir dari permintaan header</li>
<li>Isu 2810 : Peringatan pemindaian aktif bertahan dua kali ketika bersama GUI</li>
<li>Edisi 2836: ZAP hsqldb OutOfMemoryError saat menghapus catatan pembersihan</li>
<li>Masalah 2862: XSS di url di halaman tanpa parameter tidak ditemukan</li>
<li>Masalah 2874 : Perhitungan offset yang benar dalam tampilan header teks</li>
<li>Isu 2898 : Mencubit laba-laba parser untuk mengabaikan/jalur yang cocok tanda kurung sekitar URL</li>
<li>Masalah 2935 : Charset salah digunakan dalam tubuh respons jika tidak ada set charset</li>
<li>Masalah 2977 : HTTP500 dari JSON/httpSessions/view/sessions/?site=FOO</li>
<li>Isu 3002 : Benar memberikan semua node pada kotak centang pohon</li>
<li>Masalah 3041 : Perbaiki masalah konkurensi saat menerbitkan acara ZAP</li>
<li>Masalah 3052 : Perbaiki pemuatan status diaktifkan ekstensi</li>
<li>Masalah 3054 : Hapus konteks lama, selalu, saat memuat sebuah sesi</li>
<li>Masalah 3073 : Lewati proses pesan otomatis untuk tab HTTP Sessions</li>
<li>Edisi 3100 : Konteks dalam lingkup perubahan mungkin tidak diterapkan</li>
<li>Masalah 3142 : Tunjukkan secara tepat parameter yang dikecualikan melalui ZAP API</li>
<li>Masalah 3157 : Perbandingan Sesi Eksepsi</li>
<li>Masalah 3175 : Membatalkan/menyimpan Dialog bidang standar pada tombol escape</li>
<li>Masalah 3192 : URL yang termasuk dalam konteks diabaikan oleh laba-laba</li>
<li>Masalah 3211 : Tidak dapat menemukan .ZAP_JVM.properties dengan %HOMEPATH% saat menggunakan zap.bat di jendela</li>
<li>Masalah 3215 : Sejarah penyaring dialog tidak dapat diskalakan</li>
<li>Masalah 3221 : Beberapa ikon tidak diskalakan dengan benar</li>
<li>Masalah 3224 : Injeksi HTML di tab "Waspada"</li>
<li>Masalah 3275 : Kecualikan Global URL (beta) - setelah tutup dan buka kembali tidak mengambil regex tambahan untuk mengecualikan URL</li>
<li>Masalah 3278 : Setel ulang URL yang dikecualikan proxy pada sesi baru</li>
<li>Masalah 3309 : Perbaiki penghitungan simpul pada tahap pra-pemindaian</li>
<li>Isu 3320: Penciptaan yang benar dari bibit laba-laba Git/SVN</li>
<li>Isu 3330: Menerapkan argumen konfigurasi pada urutan yang ditentukan</li>
</ul>

<h2>ZAP API Berubah Titikterakhir:</h2>

<h3>ACTION ascan / scan</h3>

Parameter url sekarang adalah opsional dan sebuah parameter konteksId telah ditambahkan. Anda harus menyediakan salah satu dari yang ini.

<h3>TINDAKAN ascan / scanAsUser</h3>

Parameter url dan konteksid sekarang opsional. Anda harus menyediakan salah satu dari yang ini.

<h3>TINDAKAN ascan / tambahkan kebijakan scan</h3>

Ditambahkan opsional peringatanAmbangbatas dan parameter kekuatanSerangan.


<h2>ZAP API Titik akhir Baru:</h2>

<h3>LIHAT ascan / pilihanMaxAturanDurasiDalamMenit</h3>

Mengembalikan waktu maksimum dalam beberapa menit sehingga sebuah aturan pemindai bisa berjalan bagi, nol tidak terbatas.

<h3>LIHAT ascan / pilihanMaxAturanDurasiDalamMenit</h3>

Mengembalikan waktu maksimum dalam beberapa menit sehingga sebuah pemindai keseluruhan bisa berjalan bagi, nol tidak terbatas.

<h3>TINDAKAN ascan / mengaturpilihanMaxAturanDurasiDalamMenit</h3>

Mengatur waktu maksimum dalam beberapa menit sehingga sebuah aturan pemindai bisa berjalan bagi, nol tidak terbatas.

<h3>TINDAKAN ascan / mengaturpilihanMaxAturanDurasiDalamMenit</h3>

Mengatur waktu maksimum dalam beberapa menit sehingga sebuah pemindai keseluruhan bisa berjalan bagi, nol tidak terbatas.

<h3>TINDAKAN ascan / pindaiperbaruikebijakan</h3>

Memperbarui kebijakan pemindai yang ditetapkan dengan peringatanAmbangbatas yang ditentukan atau parameter kekuatanSerangan.

<h3>LIHAT istirahat / adalahistirahatsemua</h3>

Kembalikan dengan Benar jika ZAP akan melanggar pada kedua permintaan dan tanggapan.

<h3>LIHAT istirahat / adalahIstirahatPermintaan</h3>

Kembalikan dengan Benar jika ZAP akan melanggar atas permintaan.

<h3>LIHAT istirahat / adalahIstirahatTanggapan</h3>

Kembalikan dengan Benar jika ZAP akan melanggar atas tanggapan.

<h3>LIHAT istirahat / httpPesan</h3>

Mengembalikan pesan HTTP saat ini dicegat (jika ada).

<h3>TINDAKAN istirahat / istirahat</h3>

Kontrol global merusak fungsi. Jenis mungkin salah satu dari: http, http-request atau http-response. Keadaan mungkin bisa benar (untuk mengubah jeda untuk pada tipe yang ditentukan) atau salah (untuk berbalik memutuskan). Cakupan saat ini tidak digunakan.

<h3>TINDAKAN istirahat / mengaturHttpPesan</h3>

Terlalu banyak menulis pesan yang saat ini dicegat dengan data yang disediakan.

<h3>TINDAKAN istirahat / terus</h3>

Menyerahkan pesan yang saat ini dicegat dan membatalkan titik permintaan/tanggapan global.

<h3>TINDAKAN istirahat / langkah</h3>

Menyerahkan pesan yang saat ini dicegat, permintaan atau tanggapan selanjutnya akan secara otomatis bisa dicegat.

<h3>TINDAKAN istirahat / penurunan</h3>

Turunkan pesan saat dicegat.

<h3>LIHAT inti / pilihanDnsTtlPertanyaanSukses</h3>

Mendapatkan TTL (dalam detik) dari pertanyaan DNS yang berhasil.

<h3>TINDAKAN inti / kirimPermintaan</h3>

Mengirim permintaan HTTP, secara opsional berikut pengaturan ulang. Mengembalikan permintaan kiriman dan tanggapan penerimaan dan mengikuti pengaturan ulang, jika ada. Mode ini ditegakkan ketika mengirim permintaannya (dan mengikuti pengaturan ulang), permintaan manual khususnya tidak diizinkan pada mode 'Aman' maupun pada mode 'Terlindungi' jika keluar dari ruang lingkup.

<h3>TINDAKAN inti / pilihanDnsTtlPertanyaanSukses</h3>

Menetapkan TTL (dalam detik) pertanyaan DNS yang berhasil (berlaku setelah ZAP mengulang kembali).

<h3>Inti LAINNYA / mdreport</h3>

Menghasilkan laporan dalam format Turunnya harga.

<h3>LIHAT httpsesi / situs</h3>

Menemukan semua situs yang mempunyai sesi.

<h3>LIHAT pscan / scanHanyaDalamLingkup</h3>

Mengatakan apakah atau tidak pasif scan harus dilakukan hanya pada pesan yang ada di ruang lingkup.

<h3>LIHAT pscan / mengaturScanHanyaDalamLingkup</h3>

Menetapkan apakah atau tidak pasif scan harus dilakukan hanya pada pesan yang ada di ruang lingkup.

<h3>LIHAT laba-laba / semuaUrls</h3>

Menampilkan daftar URLs unik dari sejarah tabel berdasarkan HTTP pesan ditambahkan oleh laba-Laba.

<h3>LIHAT laba-laba / pilihananakmaksimal</h3>

Mendapatkan jumlah maksimum node anak (per node) yang dapat merangkak, 0 berarti tidak ada batas.

<h3>LIHAT laba-laba / mengaturPilihanAnakMaksimal</h3>

Menetapkan jumlah maksimum node anak (per node) yang dapat merangkak, 0 berarti tidak ada batas.

<h2>Rincian Kerentanan</h2>

Berikut kerentanan telah dilaporkan dalam versi sebelumnya dari ZAP.
Lainnya kurang serius masalah telah juga telah diperbaiki sebagai masalah tentu saja.<br>
Banyak terima kasih untuk semua peneliti yang telah etis melaporkan masalah ini kepada kami melalui <a href="https://bugcrowd.com/owaspzap">program bounty bug</a>. 
Jika anda memerlukan informasi lebih lanjut tentang kerentanan ini maka silahkan hubungi kami.

<h3>RCE melalui Anti CSRF Bentuk Tes dan API Key Pengungkapan</h3>

Jika pengguna menggunakan Anti CSRF Bentuk Tes terhadap yang khusus dibuat halaman HTML maka API key itu bocor ke situs tersebut.
Situs ini kemudian bisa mengakses ZAP API dan melakukan tindakan apapun, termasuk meng-upload ZAP script. Skrip hanya bisa untuk diunggah dari sistem file 'lokal' tetapi jika pengguna sedang menjalankan ZAP pada Window maka si penyerang bisa membuat sebuah skrip jahat tersedia melalui sebuah bagian SMB publik. Hal ini tampaknya ZAP untuk file lokal dan script itu di-upload dan dapat berjalan melalui API.
<br>
Yang dibutuhkan untuk kunci API atau nonce pada semua pekerjaan API adalah sebuah hasil langsung dari kerentanan ini, seperti mengubah add-on untuk menggunakan nonces untuk menurunkan risikonya dari kebocoran kunci API.
<br><br>
<b>Kredit: Artemy Bogdanov (@Abr1k0s)</b>
<br>
Artemy mendapatkan penghargaan hadiah bug sebesar $1000 sebagai suatu hasil dari ketundukan ini. Ini adalah hadiah bug pertama yang telah kami beri bayaran - selamat untuk Artemy!

<h3>Windows Installer Rentan terhadap Pembajakan DLL</h3>

Pemasangan Window ZAP untuk semua versi naik untuk dan juga termasuk 2.5.0 yang mudah diserang terhadap Pembajakan DLL pada Windows 7 (dan versi terdahulunya).
Ini adalah kerentanan di dalam pihak ke-3 installer InnoSetup.
Yang 2.6.0 Installer (pada semua platform) yang sekarang dihasilkan dengan menggunakan Install4J.
<br><br>
Jika untuk beberapa sebab tertentu anda harus menginstal versi terdahulu dari ZAP pada Window 7 maka kami sarankan sebaiknya anda memindahkan pemasangan pada sebuah direktori yang bersih sebelum menjalankannya.
<br><br>
Perhatikan bahwa Burp Suite juga menggunakan Install4J jadi masa depan kerentanan di Install4j-installer yang dihasilkan dapat memenuhi syarat untuk Burp Suite bug bounty program: <a href="https://hackerone.com/portswigger">https://hackersatu.com/portswigger</a>
<br><br>
<b>Kredit: James kettle (Burp Suite)</b>

<h3>Eksekusi Kode Arbitrer melalui Aplikasi Invoke Parameter Injeksi</h3>
 
Parameter HTML bisa jadi dibuat secara khusus untuk menyebabkan pelaksanaan kode semaunya, jika pengguna memilih untuk meminta aplikasi sasaran dengan sebuah permintaan yang mengandung parameter tersebut dari dalam ZAP.
<br>
Meminta Aplikasi add-on telah mengalami pembaruan untuk memperbaiki persoalan ini - semua pengguna ZAP sebaiknya memasang versi terbaru ini sebelum melanjutkan untuk menggunakan add-on.
<br><br>
<b>Kredit: Artemy Bogdanov (@Abr1k0s)</b>

<h3>XSS melalui Formulir Uji Anti CSRF</h3>

Anti CSRF Bentuk Tes adalah rentan terhadap serangan XSS jika dijalankan terhadap yang khusus dibuat halaman HTML.
<br>
API sekarang menggunakan Konten yang kuat Kebijakan Keamanan untuk mencegah masalah tersebut
<br><br>
<b>Kredit: g_sato - <a href="https://bugcrowd.com/g_sato">https://bugcrowd.com/g_sato</a></b>

<h3>API Rentan terhadap DNS Rebinding</h3>

API itu rentan terhadap penyerangan DNS Rebinding.
Sekarang cek host header dan menolak setiap permintaan tak terduga dari tuan rumah.
<br><br>
<b>Kredit: Artemy Bogdanov (@Abr1k0s)</b>

<h2>Lihat juga</h2>
<table>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="../intro.html">Lihat juga</a></td><td>pengantar ZAP</td></tr>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="releases.html">Rilis</a></td><td>set lengkap rilis</td></tr>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="../credits.html">Kredit</a></td><td>orang-orang dan kelompok-kelompok yang telah membuat rilis ini mungkin</td></tr>
</table>
</body>
</html>
